Il Garante per la protezione dei dati personali ha aggiornato le linee guida sui programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati (abbiamo trattato la versione precedente qui), a seguito di una consultazione pubblica iniziata il 16 marzo 2024.
Di seguito delineiamo le principali novità:
Innanzitutto, il Garante sottolinea che le linee guida aggiornate chiariscono la normativa esistente piuttosto che imporre nuovi obblighi ai datori di lavoro. Si concentrano sull’intersezione tra le leggi sulla protezione dei dati e l’uso della tecnologia nei luoghi di lavoro, fornendo ai datori di lavoro linee guida sulla gestione dei metadati per garantire il corretto funzionamento e la sicurezza del sistema di posta elettronica senza innescare procedure specifiche del diritto del lavoro.
Chiarimento del concetto di metadati
Questo aggiornamento restringe la portata del provvedimento iniziale, chiarendo che i soli metadati a cui si fa riferimento nelle linee guida corrispondono alle informazioni registrate nei log generati dai sistemi server che gestiscono e instradano la posta elettronica (noti come Mail Transport Agent) e dalle postazioni nelle interazioni tra i vari server interagenti, nonché tra questi server e i terminali che inviano i messaggi (noti come Mail User Agent).
Ciò significa che le linee guida non si riferiscono alle informazioni contenute o integrate nel corpo dei messaggi di posta elettronica, che costituiscono l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento, l’origine e altri parametri tecnici del messaggio. Queste informazioni sono inseparabili dal messaggio in questione e rimangono a disposizione del dipendente nella casella di posta elettronica assegnata.
Aggiornamento del periodo di conservazione dei dati
Le linee guida aggiornate confermano che la conservazione dei metadati necessari per il funzionamento dell’infrastruttura del sistema di posta elettronica è consentita per un periodo limitato di alcuni giorni, non superiore a 21 giorni. Questo estende il periodo di conservazione precedentemente indicato di 7 giorni, ma il Garante non chiarisce perché indica specificamente un termine di 21 giorni, affermando semplicemente che è un termine indicativo.
Pertanto, la conservazione generalizzata dei metadati per un periodo di tempo più lungo può avvenire solo con il previo accordo con le rappresentanze sindacali o con la previa autorizzazione dell’Ufficio Territoriale del Lavoro, senza pregiudizio per la necessità di garantire il rispetto del principio di limitazione della conservazione.
Il Garante sottolinea inoltre l’importanza di informare i dipendenti sulla raccolta e l’uso dei loro metadati di posta elettronica, inclusi i periodi di conservazione ed il potenziale monitoraggio.
Inoltre, i fornitori di servizi devono implementare misure adeguate per garantire che i titolari del trattamento siano in grado di soddisfare i loro obblighi ai sensi delle linee guida.
Considerazioni finali
Sebbene il Garante evidenzi che le linee guida aggiornate servono a chiarire la normativa esistente piuttosto che introdurre nuovi obblighi, aderire a queste linee guida richiede che i datori di lavoro implementino le seguenti misure:
- verificare che i programmi di gestione delle e-mail in uso consentano di conformarsi ai requisiti delle linee guida;
- se intendono conservare i metadati per più di 21 giorni, stipulare un accordo con le rappresentanze sindacali o, in mancanza, ottenere l’autorizzazione dall’Ufficio Territoriale del Lavoro;
- aggiornare l’informativa sulla privacy per i dipendenti, indicando specificamente il periodo di conservazione applicabile ai metadati delle e-mail;
- condurre una valutazione d’impatto sulla protezione dei dati (DPIA) e un test di bilanciamento (LIA); e
- aggiornare la politica di conservazione dei dati e il registro del trattamento dei dati.
DLA Piper ha partecipato alla consultazione pubblica in relazione alle linee guida, per saperne di più potrebbe essere d’interesse Il contributo di DLA Piper alla consultazione del Garante sulla conservazione dei metadati delle e-mail dei dipendenti
Autrici: Cristina Criscuoli e Roxana Smeria
Autore: Cristina Criscuoli
